Ботнет Necurs, применяемый для рассылки фишинговых писем с вредоносной программой Locky, обзавелся новым функционалом. По словам исследователя из компании Anubis Labs Тьяго Перейры, теперь хакеры могут проводить DDoS-атаки, используя Necurs.
По данным Перейры, вредоносная программа Necurs теперь имеет модуль, который отвечает за DDoS-атаки, и новый функционал подключения к командному серверу посредством прокси. Хотя модуль добавили еще несколько месяцев назад, сейчас злоумышленники не пользуются им.
Эксперты Anubis Labs в сентябре минувшего года обратили внимание на то, что инфицированные Necurs системы подключались не только к порту 80, но и к ряду IP-адресов, используя иные порт и протокол. Реверс-инжиниринг вредоносного кода позволил выявить простой прокси-модуль SOCKS/HTTP, который применялся для подключения Necurs к командному серверу.
Боты используются операторами ботнета в качестве прямых и backconnect прокси для того, чтобы передавать информацию через протоколы HTTP, SOCKSv4 и SOCKSv5. Управляющий сервер отправляет ботам команды о запуске Proxybackconnect, включении спящего режима или начале DDoS-атаки. DDoS-атака осуществляется посредством HTTP-флуда и UDP-флуда.